Tra cronaca e oblio la parola alle sezioni unite

Avv. Flaviano Sanzari

Con ordinanza depositata lo scorso 5 novembre, la terza sezione civile della Corte di Cassazione ha sollecitato l’intervento delle Sezioni Unite, al fine di stabilire criteri univoci di bilanciamento tra diritto all’oblio e diritto d’informazione. L’occasione è stata fornita da un caso tipico, pervenuto all’esame della Suprema Corte, riguardante la pubblicazione ad anni di distanza, nel 2009, di un articolo su un caso di omicidio in ambito familiare verificatosi nel 1982. Il colpevole aveva nel frattempo scontato i 12 anni di reclusione a cui era stato condannato e, di fronte alla pubblicazione dell’articolo, aveva lamentato danni sia psicologici sia patrimoniali.

La Cassazione, ripercorrendo la vicenda e le ultime conclusioni raggiunte dalla giurisprudenza, ne prende le distanze, rilevando come i punti finora individuati, in presenza dei quali appare giustificata la compressione del diritto all’oblio a favore di quello di cronaca, costituiscono un elenco non chiarissimo, che potrebbe condurre a un’eccessiva riduzione dei casi di prevalenza dell’oblio, sino a renderlo di fatto inefficace. Tanto più che nel frattempo – sottolinea l’ordinanza – è entrato in vigore il regolamento comunitario sulla protezione dei dati, con una circostanziata disciplina dei casi in cui è possibile, da parte della persona interessata, la richiesta di rimozione dei dati personali che la riguardano.

E allora, l’ordinanza conclude osservando che l’assetto assai delicato dei rapporti tra diritto all’oblio e diritto di cronaca o di manifestazione del pensiero rende «ormai indifferibile» l’individuazione di criteri inequivocabili di riferimento, che permettano agli operatori del diritto di conoscere i presupposti che autorizzano la presentazione della domanda per impedire l’ulteriore diffusione di una notizia legittimamente pubblicata in passato.

Cultura Cinese: Business & Law in China

29.11.2018-18.04.2019 – Università Cattolica – Milano

Obiettivi del corso

L’obiettivo principale di questa serie di incontri è quello di fornire gli elementi di base per comprendere il ricco quadro normativo cinese disciplinante gli investimenti esteri (FDIs, Foreign Direct Investments).

La serie di incontri verrà sviluppata affrontando diversi temi cominciando con una breve introduzione sull’evoluzione dell’ambiente economico cinese, e quindi verrà offerta una panoramica introduttiva concernente i presupposti degli investimenti esteri in Cina, le possibili forme di internazionalizzazione, da quelle contrattuali (con varie tipologie di contratti commerciali possibili) a quelle societarie [come ad es. le JVs (Joint Ventures), le WFOEs (Wholly Foreign-Owned Enterprises), gli M&As (Mergers & Acquisitions)], con una panoramica sugli strumenti normativi adottati dal legislatore in Cina per favorire gli IDE (Investimenti Diretti Esteri). Il Corso comprenderà altresì un’introduzione ad altri temi correlati, quali le forme di ADR (Alternative Dispute Resolution), con particolare focus su Mediazione ed Arbitrato in Cina, nonché sul sempre fondamentale tema della tutela degli IPR (Intellectual Property Rights) in Cina, con particolare focus su Marchi e Brevetti. Verrà inoltre offerta un’interressante esposizione dell’e-commerce quale metodo alternativo di penetrazione del mercato.

Docenti

China Consulting Group (CCG): Avv.to Andrea Grasso, Avv.to Andrea Bernasconi, Dott. Emanuele Gandola.

Programma

Seminario 1 – giovedì 29 novembre 2018, ore 18:00
Panoramica introduttiva al Doing Business in China: presupposti degli IDE – Investimenti Diretti Esteri (o FDIs – Foreign Direct Investiments) in Cina e il Piano Quinquennaleed il Catalogo degli Investimenti

Seminario 2 – giovedì 6 dicembre 2018, ore 18:00
Internazionalizzazione: le formule puramente contrattuali

Seminario 3 – giovedì 13 dicembre 2018, ore 18:00
Internazionalizzazione: le formule societarie. Tipologie e funzionamento degli strumenti classici di investimento. Introduzione ai c.d. M & A (Mergers and Acquisitions)

Seminario 4 – giovedì 4 aprile 2019, ore 18:00
Internazionalizzazione: e-commerce in Cina: una prospettiva commerciale. Introduzione, la vendita online, comparazione con le strutture di vendita tradizionali. Approfondimenti giuridici

Seminario 5 – giovedì 11 aprile 2019, ore 18:00
Internazionalizzazione: cautele necessarie. I.P.R. in China (I). Normative di riferimento e tutele in relazione agli Intellectual Property Rights. Marchi e Brevetti; Copyright, Trade Secrets, Know How

Seminario 6 – giovedì 18 aprile 2019, ore 18:00

Prevenzione e gestione dei conflitti commerciali. La Prevenzione e gestione dei conflitti commerciali in via Negoziale. Le forme di ADR – Alternative Dispute Resolution. Introduzione alla risoluzione alternativa (al processo innanzi le Corti) delle controversie commerciali, con cenni all’Arbitrato in Cina. Cenni Introduttivi al Processo Civile come extrema ratio in caso di non risolvibilità in via negoziale dei conflitti commerciali e concorrente impercorribilità di uno dei metodi di ADR

Iscrizione

Il corso è aperto a:

  • studenti dell’UCSC iscritti alla Facoltà di Giurisprudenza
  • studenti dell’UCSC iscritti ad altre Facoltà
  • studenti provenienti da altre Facoltà
  • avvocati, manager, ingegneri gestionali

L’iscrizione avviene tramite registrazione online ai link di seguito e effettuazione del pagamento della tassa di iscrizione: 100€ per studenti dell’Università Cattolica (esenti dal pagamento del 22% IVA); 122€ per studenti universitari provenienti da altre università; 250€ per professionisti

I posto sono limitati.

Le iscrizioni sono aperte fino al 18 novembre 2018 e si effettuano online a questo link.

La pirateria informatica oggi e domani

27.11.2018 – Università di Bologna – Bologna

La lotta alla contraffazione è uno dei principali temi giuridici dei giorni moderni: dalla copia di opere alle più recenti problematiche legate allo streaming e IPTV. La cattedra di Informatica Giuridica dell’Università di Bologna organizza un seminario sulla pirateria informatica.

Il seminario vede l’intervento dei soci soci CSIG Bologna: l’organizzazione è a cura della Professoressa Raffaella Brighi e sarà tenuto dall’Avv. Vincenzo Colarocco, capo del dipartimento di protezione dei dati personali, compliance e sicurezza informatica dello studio legale Previti.

Vademecum pratico operativo sul nuovo Regolamento Europeo sulla tutela del dato

21.11.2018 e 28.11.2018 – Sala Conferenze “Eligio Gualdoni” Palazzo di Giustizia, Milano

Corso di formazione ed aggiornamento professionale per Avvocati

Docenti:
Maria Grazia Monegat – Avvocato, Consigliere dell’Ordine degli Avvocati di Milano
Vincenzo Colarocco – Avvocato, Capo Dipartimento protezione dei dati personali, compliance e sicurezza informatica
Giovanna Raffaella Stumpo – Avvocato, Esperta di discipline strumentali all’esercizio della professione forense

Download (PDF, 438KB)

Avvocati e Social Media. Deontologia, Privacy e tecniche per un uso efficace di LinkedIn

Milano – 23 novembre – Palazzo delle Stelline

PROGRAMMA

● Registrazione
● Comunicazione sui Social nel rispetto della deontologia forense
● GDPR e D.lgs. 101/18: adempimenti Privacy dello Studio Legale (focus: trattamento tramite i Social)
● Reputazione professionale on-line e consigli pratici per un efficace utilizzo di LinkedIn
● Q&A e confronto con i docenti

DOCENTI
Avv. Cinzia Preti
Consigliere Segretario dell’Ordine degli Avvocati di Milano | Studio Carnelutti
Avv. Vincenzo Colarocco
Head of Privacy and Compliance Department| Studio Previti
Dott. Stefano Montimoregi
Legal Tech Specialist | Founder Avvocato360.it
Ing. Germano Buttazzo
Senior Sales Manager | LinkedIn
Dott. Luca Menci
HR Director | BonelliErede

Facebook di nuovo vittima degli hacker: violati 81 mila account

Avv. Vincenzo Colarocco

Dopo lo scandalo Cambridge Analytica e gli hacker che rubano le chiavi di 30 milioni di account, ancora una volta, lo scorso novembre, Facebook è vittima di un attacco hacker ed a farne le spese sono almeno 81 mila utenti i cui log di chat sono stati venduti a 10 centesimi l’uno.

In realtà, questa volta sembrerebbe che il social network non sia stato violato, ma siano stati compromessi i browser con i quali gli utenti accedono al Social utilizzando estensioni manomesse. È così, infatti, che milioni di messaggi privati degli utenti sono stati monitorati e salvati da “agenti ostili”. A rivelarlo è stata la stessa BBC dopo aver scoperto il forum dove i log di tutte queste chat sono stati messi in vendita.

In particolare, insieme con la società di sicurezza informatica Digital Shadows, la BBC ha indagato su un utente con il nickname “FBSaler”, il quale ha offerto in vendita alcune informazioni private ricavate da Messenger affermando: “Vendiamo informazioni personali degli utenti di Facebook. Il nostro database include 120 milioni di account”.

Ad oggi sembra che gli account violati appartengano per lo più ad utenti provenienti da Russia e Ucraina, ma alcuni anche dagli Stati Uniti, dal Regno Unito e altrove.

L’unico aspetto positivo di tutta la vicenda è che le informazioni in possesso degli hacker non sarebbero in nessun modo collegate né a quelle dello scandalo Cambridge Analytica di fine marzo 2018, né alle violazioni dello scorso settembre.
Per maggiori approfondimenti clicca qui.

La Suprema Corte è chiamata a trovare un punto di equilibrio tra diritto all’oblio e diritto di cronaca

Avv. Vincenzo Colarocco

Con l’ordinanza 28084, le Sezioni Unite Civili della Corte di Cassazione sono state chiamate ad individuare, una volta per tutte, i presupposti che autorizzino la compressione del diritto all’oblio in luogo dell’esercizio del diritto di cronaca. Nel caso di specie, la richiesta di cancellazione ha ad oggetto un articolo del 2009 su un caso di omicidio in ambito familiare verificatosi nel 1982, il cui colpevole ha già scontato i 12 anni di reclusione cui era stato condannato e lamenta danni sia psicologici che patrimoniali. L’esigenza di un indifferibile chiarimento è emersa in maniera ancora più evidente a seguito di un’altra recedente ordinanza della stessa Corte, nella quale veniva individuata una serie di punti, cinque per la precisione, per giustificare la compressione del diritto all’oblio a favore di quello di cronaca, tra i quali figuravano l’interesse effettivo e attuale alla diffusione della notizia, la notorietà della persona interessata, le modalità utilizzate per dare l’informazione, la concessione di un dritto di replica. L’ordinanza 28084 pone l’accento anche sulla tutela dei dati personali, evidenziando come in occasione della definizione dei suddetti parametri, non possa non tenersi conto del nuovo “diritto all’oblio”, introdotto all’art. 15 dal Regolamento europeo sulla protezione e libera circolazione dei dati personali, meglio noto come GDPR.

I rapporti tra l’accesso abusivo ad un sistema informatico e il ruolo dirigenziale

Avv. Vincenzo Colarocco

Con la sentenza del 25 ottobre 2018 n. 48895, la V Sezione Penale della Corte di Cassazione ha risposto al seguente interrogativo: è imputabile di accesso abusivo a sistema informatico il dirigente, che, all’atto delle proprie dimissioni, estragga i file contenenti dati riservati del proprio datore di lavoro?

Le Sezioni Unite prendono le mosse da un precedente orientamento giurisprudenziale con il quale era stato già affermato che il delitto previsto dall’art. 615 ter c.p. è integrato dalla condotta di colui che , pur essendone autorizzato, acceda o si mantenga in un sistema informatico protetto violando le condizioni ed i limiti risultanti dall’autorizzazione fornita dal titolare del sistema utilizzando, dunque, le proprie credenziali per scopi o finalità estranei a quelli per i quali la facoltà di accesso gli era stata attribuita.

Ciò implica che tutti i dipendenti di un’azienda, anche quelli che ricoprono un ruolo dirigenziale, siano tenuti a rispettare il dovere di eseguire, sui sistemi informatici, attività che siano in diretta connessione con l’assolvimento della propria funzione. Ne conseguono l’illiceità e l’abusività di qualsiasi comportamento che si ponga in contrasto con i limiti del relativo potere conferito.

Nel caso in esame, non è stato provato che l’imputato con la qualifica di dirigente avesse l’accesso indiscriminato a tutti i dati dell’azienda e, pertanto, nonostante la sua qualifica apicale, non era per lo stesso possibile un accesso indiscriminato ed illimitato al sistema informativo. La preposizione ad una branca o un settore autonomo dell’impresa, infatti, è pienamente compatibile, sul piano logico e giuridico, con la qualifica di dirigente.

La sentenza in commento si pone nel novero delle pronunce giurisprudenziali rilevanti nel contesto della cybersecurity, che è l’insieme di processi e presidi volti alla tutela della confidenzialità, integrità e disponibilità delle informazioni trattate mediante sistemi informatici.

Il caso in esame mostra come non solo un atto proveniente dall’esterno, come potrebbe essere quello di tipo hacker, ma anche uno proveniente dall’interno possa comportare una sostanziale violazione di dati ed informazioni. L’imputato, infatti, ha operato dall’interno, mediante le proprie credenziali legittimamente detenute, ponendo, però, in essere una condotta che non era ontologicamente compatibile con gli scopi posti alla base del rilascio delle credenziali stesse.

Da una tale affermazione conseguono, per lo meno, due considerazioni. Da un lato, la sentenza in commento non potrà restare priva di conseguenze sul piano organizzativo dell’impresa perché l’art. 615 ter c.p. rappresenta un reato presupposto ex art. 24-bis DLgs. 231/2001. Dall’altro, è evidente la diretta correlazione della statuizione della Corte con il principio di limitazione delle finalità disposto dall’art. 5 del Reg. UE 679/2016 che prevede che i dati personali siano raccolti per finalità determinate, esplicite, legittime, e successivamente trattati in modo non incompatibile con tali finalità. Questo perché, come visto, le credenziali informatiche, sebbene siano legittimamente possedute, non possono essere utilizzate per ragioni ontologicamente estranee a quelle per le quali la facoltà di accesso è stata attribuita.

Digital Crime: GDPR e Direttiva NIS richiedono interpretazione uniforme e coordinata

Avv. Vincenzo Colarocco

Regolamento europeo n. 679/2016 e Direttiva NIS UE 2016/1148: due provvedimenti differenti per finalità e contenuti (primo è dedicato alla protezione dei dati personali e si rivolge ad un’ampia categoria di soggetti obbligati, mentre la seconda, recepita nel nostro ordinamento mediante il D. Lgs. n. 65/2018, si propone la difesa delle reti e dei sistemi informativi e si rivolge esclusivamente agli operatori di servizi essenziali ed ai fornitori di servizi digitali).

Tali diversità non devono trarre in inganno, in quanto si tratta di provvedimenti strettamente collegati, posto che uno disciplina il “contenuto” e l’altro il “contenitore”: entrambi hanno come fine ultimo la uniformazione delle legislazioni in materia mediante cooperazione tra autorità nazionali. Questa complementarietà è fondamentale che venga assunta dalle imprese al fine di evitare interventi mirati ad assolvere il singolo adempimento.

È, inoltre, da ricordare che il complesso normativo inerente la cyber security si è andato sempre più ad allargare; basti ricordare: il Decreto del Presidente del Consiglio dei Ministri 17 febbraio 2017 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica”; il Piano nazionale per la protezione cibernetica e la sicurezza informatica del maggio 2017; la Circolare Agid n.2/2017 sostitutiva della n.1/2017,  recante misure minime di sicurezza ICT per le pubbliche amministrazioni.

A questo complesso di normative va aggiunto il Decreto legislativo 231/2001(Responsabilità amministrativa delle società e degli enti) che prevede la responsabilità delle imprese per reati informatici commessi dai vertici e dipendenti a seguito della legge 48/2008 ( Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno).

Rispetto il suddetto articolato sistema normativo ci si chiede come reagiranno le aziende, auspicando la creazione di modelli ad hoc che pure con le loro differenze consentano di rispondere alle esigenze di privacy e cybersecurity .

Una strategia questa che può essere attuata superando l’idea della distinzione tra esperto in sicurezza e giurista. È infatti necessario che gli informatici tengano presente le norme e che il giurista consideri le nuove tecnologie in modo tale da poter cooperare verso un nuovo sistema regolatorio completo.